輸出資料與儲存磁碟區加密

使用 Amazon SageMaker Ground Truth，您可以標籤高度敏感資料、維持資料的控制權，以及採用最佳安全實務。在執行標籤工作時，Ground Truth 會加密傳輸中和靜態的資料。此外，您可以搭配 Ground Truth 使用 AWS Key Management Service (AWS KMS) 來執行下列動作：

• 使用客戶受管金鑰來加密您的輸出資料。

• 將 AWS KMS 客戶受管金鑰與自動化資料標籤任務搭配使用，以加密連接至用於模型訓練和推論之運算執行個體的儲存磁碟區。

請使用此頁面的主題來進一步了解 Ground Truth 安全性功能。

使用 KMS 金鑰加密輸出資料

或者，您可以在建立標記任務時提供 AWS KMS 客戶受管金鑰，Ground Truth 會使用該任務來加密輸出資料。

如果您未提供客戶受管金鑰，Amazon SageMaker AI 會使用 Amazon S3 的預設值 AWS 受管金鑰 ，讓角色的帳戶加密您的輸出資料。

如果您提供客戶受管金鑰，您必須將必要許可新增至使用 AWS KMS的加密輸出資料和儲存磁碟區中所述的金鑰。當您使用 API 作業 CreateLabelingJob，您可以使用參數 KmsKeyId 來指定客戶受管金鑰 ID。請參閱下列程序，了解如何在使用主控台建立標籤工作時新增客戶受管金鑰。

若要新增 AWS KMS 金鑰來加密輸出資料 （主控台）：

1. 完成建立標籤工作 (主控台)中的前 7 項步驟。

2. 在步驟 8，選取其他組態旁邊的箭頭以展開此區段。

3. 針對加密金鑰，選取您要用來加密輸出資料的 AWS KMS 金鑰。

4. 完成建立標籤工作 (主控台)中的其餘步驟以建立標籤工作。

使用 KMS 金鑰加密自動化資料標籤儲存磁碟區 (僅限 API)

當您使用 CreateLabelingJob API 作業以建立自動化資料標籤的標籤工作時，您可以選擇將執行訓練和推論工作之機器學習 (ML) 運算執行個體，其連結之儲存磁碟區進行加密。若要將加密新增至您的儲存磁碟區，請使用 參數VolumeKmsKeyId輸入 AWS KMS 客戶受管金鑰。如需此參數的詳細資訊，請參閱LabelingJobResourceConfig。

如果您為 指定金鑰 ID 或 ARNVolumeKmsKeyId，SageMaker AI 執行角色必須包含呼叫 的許可kms:CreateGrant。若要了解如何將此權限新增至執行角色，請參閱為 Ground Truth 標籤工作建立 SageMaker AI 執行角色。

注意

如果您在主控台中建立標籤任務時指定 AWS KMS 客戶受管金鑰，該金鑰只會用來加密輸出資料。它不會用來加密連接至用於自動化資料標籤之機器學習 (ML) 運算執行個體的儲存磁碟區。